-
Junior Member
- Вес репутации
- 51
Неизвестный вирус
Все началось около месяца назад, когда в автозагрузку стали загружаться некоторые странные программы(у меня установлен 2ип старт гуард), я прогуглил данные программы и понял, что это какие-то зараженные файлы. Проверил КьюрИт-ом систему, но подметил то, что на диске С он файлы с именами А989***.ехе удаляет, а файлы с идентичными названиями на Е не удаляет. После этого некоторое время в автозагрузку ничего не просилось, но потом снова появилась данная проблема. Потом у меня заблочилась смена языка(только русский, собственно поэтому я и не могу написать имена программ на английском %)) и вчера был заблокирован интернет. Я проверил компьютер с АВП дважды, сначала с рекомедуемым уровнем безоп-сти, потом с высоким: интернет разблокировался, но как только я его подключил, снова в автозагрузку начали просится разные файлы.
Антивирус - Нод32 4-ое поколение с последними базами(иногда жалуется на какие файлы и удаляет их, а через некоторое время снова на них жалуется - видимо , они восстанавливаются).
Прикладываю необходимые файлы и надеюсь на вашу помощь. Заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
QuarantineFile('c:\windows\system32\msvmiode.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-7967147087-2733810403-093605249-3062\syscr.exe');
QuarantineFile('C:\WINDOWS\system32\64.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\system32\57.exe','');
QuarantineFile('C:\WINDOWS\system32\21.exe','');
QuarantineFile('C:\Documents and Settings\admin\Application Data\ltzqai.exe','');
DeleteFile('C:\Documents and Settings\admin\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\system32\21.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\system32\64.exe');
DeleteFile('c:\windows\system32\msvmiode.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи.
-
-
Junior Member
- Вес репутации
- 51
Скрипты выполнил. Карантин выслал. И + прикладываю новые логи.
Кстати, заметил, что разблокировалась смена языка.
-
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\admin\Application Data\ltzqai.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 51
Скрипт выполнил, но после его выполнения комп сам не перезагрузился, а по всей видимости просто закрылся эксплорер и на экране была только обоина и мышка.
Пока идет проверка МВМА, спрошу кое-что: когда она завершится, мне сразу дать лог, а с зараженными файлами ничего не делать или сразу удалить их?
-
Пока ничего не делайте, MBAM слишком много подозревает. Мы ему поможем сделать правильный выбор.
-
-
Junior Member
- Вес репутации
- 51
Сканирование завершено, прикрепляю лог.
-
Удалите в MBAM -
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\NoRun (Hijack.Run) -> Bad: (1) Good: (0) -> No action taken.
Зараженные файлы:
C:\WINDOWS\system32\drivers\19314422.sys (Rootkit.Agent.H) -> No action taken.
- Повторите лог MBAM
- Что с проблемой?
-
-
Junior Member
- Вес репутации
- 51
Хех, кажется, МВАМ не сохранил лог после удаления, но напротив тех 2-х объектов, что вы порекомендовали было написано "quarantined and deleted successfully", а напротив того, что вы порекомендовали не удалять было написано "not selected for removing(или что-то в этом духе)".
Что с проблемой пока не знаю, но пока не проявлялось каких-либо признаков заражения. В общем спасибо большое.
-
Рекомендуется обновить - Internet Explorer v6.00 до восьмой версии, даже если Вы его не используете.
-
-
Junior Member
- Вес репутации
- 51
Благодарю, обновлю сегодня же.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\application data\ltzqai.exe - Trojan.Win32.Buzus.exkk ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Gen:Variant.Inject.2, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\msvmiode.exe - Trojan.Win32.Buzus.exip ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.KD.23944, AVAST4: Win32:Spambot-EN [Trj] )
- c:\windows\system32\21.exe - Trojan.Win32.Buzus.exko ( DrWEB: Trojan.Spambot.9106, AVAST4: Win32:Spambot-EN [Trj] )
- c:\windows\system32\57.exe - Trojan.Win32.Buzus.exko ( DrWEB: Trojan.Spambot.9106, AVAST4: Win32:Spambot-EN [Trj] )
- c:\windows\system32\64.exe - Trojan.Win32.Buzus.exko ( DrWEB: Trojan.Spambot.9106, AVAST4: Win32:Spambot-EN [Trj] )
-